本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Verified Permissions 策略
策略是一种允许或禁止主体对资源采取一项或多项操作的语句。每项策略的评估都独立于其他所有策略。有关 Cedar 策略的结构和评估方式的更多信息,请参阅《Cedar 策略语言参考指南》中的根据架构验证 Cedar 策略
重要
在编写引用主体、资源和操作的 Cedar 策略时,您可以定义用于每个元素的唯一标识符。我们强烈建议您遵循以下最佳实践:
-
对所有主体和资源标识符使用通用唯一标识符 (UUIDs)。
例如,如果用户
jane离开公司,而您后来让其他人使用jane这个名称,那么,该新用户将自动获得仍引用User::"jane"的策略所授予的所有内容的访问权限。Cedar 无法区分新用户和旧用户。这同时适用于主体标识符和资源标识符。请务必使用保证唯一且永远不可重复使用的标识符,确保您不会因为策略中存在旧标识符而在无意中授予他人访问权限。在为实体使用 UUID 时,我们建议您在它后面加上 // 注释说明符和实体的“友好”名称。这有助于使您的策略更易于理解。例如:校长 == 角色:: “a1b2c3d4-e5f6-a1b2-c3d4-”,//管理员 EXAMPLE11111
-
请勿在主体或资源的唯一标识符中包含个人识别信息、机密信息或敏感信息。这些标识符包含在 Amazon CloudTrail 跟踪中共享的日志条目中。